GDPR чек-лист

Як виглядає в цілому процес комплаєнсу з General Data Protection Regulation (GDPR/ГДПР/він же й Загальний Регламент про захист персональних даних)? Ця стаття надає покрокову інструкцію з питань та дій, які потрібно взяти до уваги при імплементації положень Регламенту про захист персональних даних. Визначені основні моменти, що повинні братись до уваги при підготовці до комплаєнсу з ГДПР, дають краще розуміння всього процесу – і допоможуть Вам зорієнтуватися, як почати рухатися в правильному напрямку.

Отож, розпочнімо:

1. Чи обробляються персональні дані у вашій компанії?

За Регламентом про захист персональних даних, персональні дані (ПД) – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати. Тобто, поняття включає чотири елементи: “Будь-яка інформація”, “що стосується особи”, “фізична особа” та “особа, яку ідентифіковано чи можна ідентифікувати”, про що більше можете дізнатись у нашій ще одній статті. ☺

До персональних даних належать також інші види інформації: IP-адреси, cookies-файли, коди і т.д., які дозволяють ідентифікувати певну особу.

Обробка таких даних дає привід задуматись щодо необхідності комплаєнсу за GDPR. Та чи потрібен він?

2. Чи застосовується до вашої компанії GDPR?

Якщо ви зареєстровані на території ЄС (або ж навіть не зареєстровані, але здійснюєте діяльність на території ЄС, чи в процесі здійснення діяльності отримуєте доступ до персональних даних громадян ЄС, а також тих, хто знаходиться на цій території), – вимоги, ГДПР будуть застосовуватись. 

Тобто, GDPR застосовується, коли:

1. Компанія зареєстрована в ЄС і обробляє ПД осіб з ЄС;
2. Компанія зареєстрована в ЄС і обробляє ПД осіб з інших країн;
3. Компанія зареєстрована за межами ЄС, але обробляє ПД осіб з ЄС.

Як визначити, чи здійснюєте ви свою діяльність на території ЄС (тобто чи є таргетинг на європейський ринок)? Наступні категорії допомагають наглядовим органам визначити, що ви пропонуєте товари та послуги резидентам держав-членів ЄС:

1. Мова, якою доступний сайт – одна (чи декілька) з мов ЄС;
2. Валюта оплати товарів/послуг в євро;
3. Реєстрація домену в ЄС;
4. Доставка товарів/послуг в ЄС тощо.

Отже, виявилось, що GDPR все-таки застосовується. Що далі?

3. Чи обробляються чутливі персональні дані (спеціальні категорії даних)?

Серед персональних даних GDPR виділяє так звані чутливі дані (спеціальні категорії даних). Вони потребують особливого захисту, оскільки роблять людину вразливою. До них, зокрема, належать:

• дані про расову чи етнічну приналежність;
• політичні переконання;
• релігійні чи філософські вірування;
• участь у профспілках;
• генетичні дані/біометричні дані;
• стан здоров’я та сексуальне життя/орієнтацію;
• дані про злочини та заходи кримінальної відповідальності, що застосовуються чи були застосовані у минулому до конкретної особи.

Ці списки можуть бути розширені у національному законодавстві держави-члена ЄС. Їх опрацювання можливе лише на основі чіткої підстави. Регламент визначає їх декілька; переважно при обробці цих категорій даних використовується як підстава чітка поінформована згода. 

Персональні дані збираються щодо будь-яких фізичних осіб. Це може бути особа, яка просто відвідує ваш сайт, купує товар, є працівником/підрядником компанії. Щойно такі дані були отримані, вони повинні опрацьовуватись відповідно до вимог ГДПР, адже потребують більше організаційних та технічних заходів для належної обробки.

4. Що передбачено національним законодавством?

Обов’язково варто перевірити національні стандарти і вимоги щодо обробки персональних даних, які закріплені в законодавстві конкретної держави-члена ЄС: часто національне законодавство розширює положення ГДПР. Наприклад, розширення обсягу регулювання (тобто не лише Регламент, а ще й вимоги національного закону) може потягнути за собою:

1. розширення суб’єктів персональних даних (включати ще й юридичних осіб);
2. вимоги щодо мінімального вік суб’єктів персональних даних, які самостійно можуть надавати згоду на обробку даних; 
3. Whitelists та Blacklists, тобто погоджені з European Data Protection Board (EDPB) переліки операцій, для яких не потрібне або, навпаки, обов’язково потрібне проведення оцінки ризиків (Data Protection Impact Assessment, DPIA). 

Наприклад, для цілей обробки даних у Бельгії, Естонії та Португалії вік суб’єкта даних, який може давати згоду на обробку даних, було знижено до 13 років, у Австрії та Болгарії – до 14 років, у Франції та Чехії – до 15 років, у Німеччині та Ірландії – на рівні 16 років.

Більше того, обов’язкове проведення оцінки ризиків теж варіюється від країни до країни: 

А) у Франції оцінка впливу ризиків на захист персональних даних є обов’язковою, якщо володілець зберігає і обробляє персональні дані пацієнтів у комерційних цілях;

Б) у Польщі оцінка має проводитися у ситуаціях, коли відслідковується вся активність працівників на робочій техніці та всередині приміщень у великих компаніях.

Відтак, при імплементації заходів щодо обробки ПД за ГДПР, варто звертати увагу й на національне законодавство – особливо якщо ваша компанія зареєстрована у цій країні чи має переважну більшість покупців/користувачів саме звідти.

5. Чи передаються ПД до третіх країн або міжнародних організацій?

За загальним правилом, передача персональних даних за межі території Європейського Союзу є забороненою, якщо у державі нижчий рівень захисту персональних даних (порівняно з ЄС) і не вжиті спеціальні засоби попередження ризику (наприклад, суворі контракти на обробку ПД з підрядниками з третіх країн і отримання згоди на трансфер даних у власних користувачів, чиї дані і будуть доступні іноземним партнерам). Проте, ГДПР все ж передбачає певні ситуації, коли такі дії дозволяються: 

• Передавання на підставі рішення про відповідність.

На підставі рішення про відповідність передавання персональних даних до третьої країни чи міжнародної організації може відбуватися, якщо Європейська Комісія (одна з семи найважливіших інституцій ЄС) вирішила, що третя країна, територія чи один або декілька визначених секторів у межах такої третьої країни, або відповідна міжнародна організація забезпечує належний рівень захисту. 

Таке передавання не вимагає отримання будь-якого спеціального дозволу. Наразі, Європейська Комісія виділила таких 13 країн. України немає серед цього переліку. Якщо держава, якій передаються персональні дані, визнана за допомогою adequacy decision, передавання ПД дозволено без додаткових застережень і заходів, які відсутні у такому переміщенні даних між країнами ЄС.

• Передавання з урахуванням належних гарантій.

Належними гарантіями вважаються наступні дії:

1. юридично зобов’язальний інструмент, що підлягає застосуванню, між публічними органами чи організаціями (наприклад, адміністративний договір про розподіл повноважень чи його аналог); 
2. зобов’язальні корпоративні правила (Binding Corporate Rules) згідно зі статтею 47; 
3. стандартні положення щодо захисту даних, зазначених в статті 93(2);
4. стандартні положення щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2); 
5. кодекс поведінки в поєднанні із зобов’язаннями контролера або оператора в третій країні;
6. затверджений механізм сертифікації в поєднанні із зобов’язаннями контролера або обробника в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій; або
7. положення договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або
8. положення, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб’єкта даних.

         Відступи від спеціальних ситуацій

У випадку, якщо не застосовується ні перший, ні другий варіант, який уможливлював би передачу ПД за межі Європейської економічної зони, застосовуються винятки відповідно до ст. 49 GDPR. Наприклад, до них належить:

1. Явна (поінформована) згода на обмежену передачу особою;
2. Обмежений переказ, необхідний для виконання/укладення договору;
3. Передавання є необхідним для укладення чи виконання договору, укладеного в інтересах суб’єкта даних між контролером та іншою фізичною чи юридичною особою;

Виходячи з цього, передавання ПД третім країнам або міжнародним організаціям можливе лише на підставі однієї зі зазначених умов.

6. Яку роль у процесі обробки даних виконує ваша компанія?

На цьому етапі важливо визначити роль, яка виконується: роль контролера чи оператора. На останнього ж покладається значно менше відповідальності у порівнянні з першим. Це пов’язано з тим, що оператор діє виключно за інструкцією володільця. Він не може збирати та обробляти ПД в інший спосіб, ніж вказаний контролером. Практично будь-які рішення потребують отримання згоди контролера. Прикладом цього може слугувати і правовідношення оператор/додатковий оператор (субоператор, або підрядник мого підрядника). 

Контролер займає ж провідну роль. Він надає гарантії щодо технічних та організаційних заходів безпеки, інформує додатково обробника про обробку спеціальних категорій даних, гарантує, що особи, які взяли на себе зобов’язання щодо обробки персональних даних, здійснюють це відповідно до умов конфіденційності; і, звісно ж, визначає цілі та способи обробки ПД.

Залежно від того, яка роль виконується, залежить і обсяг відповідальності та кількість обов’язків, які компанія має виконати, щоб бути у комплаєнсі.

7. Чи всі політики і інші корпоративні документи, що стосуються обробки персональних даних, відповідають Регламенту?

Важливо переглядати документи на відповідність з GDPR регулярно: чи включає політика конфіденційності всі вимоги; чи існує визначена політика щодо термінів зберігання даних для всіх і окремих категорій об’єктів персональних даних; чи укладені відповідні договори з операторами, які обробляють ПД від твого імені. Вся документація повинна бути актуальною та у відповідності з положеннями ГДПР. 

Важливо час від часу також перевіряти рішення Європейської комісії на відповідність і норми національних законодавств. Наприклад, наразі ведуться переговори з Південною Кореєю – і можливо, у вас є налагоджені відносини з місцевим гейм-бізнесом.

8. Data Protection Impact Assessment. Коли? Як? Що?

Оцінка впливу на захист даних, або Data Protection Impact Assessment, є процесом, який дозволяє визначити та мінімізувати ризики обробки персональних даних. Проведення ДПІА є обов’язковим лише тоді, коли обробка персональних даних “може призвести до високого ризику для прав і свобод фізичних осіб”. Найчастіше, DPIA є необхідним при використанні автоматизованого прийняття рішень, профайлінгу або обробки Big Data чи спеціальних категорій даних, але рекомендується проводити переоцінку щоразу при суттєвих змінах бізнес-процесів.

Цей процес можна назвати початком самого комплаєнсу, адже він відбувається ще до самого початку обробки ПД. На його етапі залучається весь персонал, який має доступ до персональних даних.

Насправді, DPIA не такий страшний, як його можна уявляти. Зазвичай він може мати форму таблички (як звичайний файл чи записи в спеціальній програмі), в яку вносяться дані стосовно:

1. Цілей обробки даних;
2. Операцій з ПД;
3. Ризиків, що виникають з обробкою даних;
4. Заходів, спрямовані на усунення таких ризиків тощо.

Проводиться він так часто, наскільки цього вимагають операції, що здійснюються щодо обробки персональних даних. Це можуть бути різні ситуації: передавання даних в третю країну або міжнародній організації, запуск нового продукту, зміна персоналу тощо.

Відповідальність за проведення Data Protection Impact Assessment покладається саме на володільця, тобто особу, що визначає цілі обробки даних. Незважаючи на те, що підприємства доволі часто наймають відповідальну особу, що відповідає за належну обробку персональних даних, Data Protection Officer, переважний тягар відповідальності все ж несе перший. Більше про Data Protection Impact Assessment ви можете прочитати тут та тут.

9. Чи потрібен вам у компанії Data Protection Officer (DPO/ДПО)?

ГДПР визначає перелік обставин за яких компанія зобов’язана призначити DPO. В свою чергу, ДПО – це особа, яку призначає володілець даних, для слідкування за правильністю застосування норм GDPR. Це може бути як працівник, так і особа, що працює за цивільно-правовим договором. Data Protection Officer може виконувати свої функції для різних компаній одночасно – як підрядник. Обов’язково призначається він за наступних причин:

1. володілець є публічною установою (наприклад, державним органом);
2. дані обробляються у великих масштабах;
3. обробляються спеціальні категорії даних.

До обов’язків DPO належить надання порад контролеру чи процесору під час здійснення обробки персональних даних, комунікація з наглядовим органом, здійснення контролю правильності застосування Регламенту. Більше про Data Protection Officer знайдіть тут.

10. Чи ознайомлені оператори з нашими політиками обробки персональних даних та їхніми обов’язками? 

Якщо оператор даних здійснює будь-яку обробку від імені контролера даних, контролер даних не дотримується GDPR, якщо між двома сторонами не існує письмового договору – Data Processing Agreement. Цей документ повинен включати, але не обмежуючись, наступні положення:

1. предмет даних;
2. тривалість обробки ПД;
3. характер і призначення обробки;
4. категорії персональних даних, які будуть оброблятися;
5. категорії суб’єктів даних, особисті дані яких будуть оброблятися;
6. права та обов’язки контролера й оператора тощо.

Цілком імовірно, що у національному законодавстві сторін договору можуть бути ще й додаткові вимоги до змісту чи форми таких договорів – це згодом захистить від імовірного анулювання договору як недійсного і санкцій за порушення порядку передання персональних даних. 

Цей чек-лист є покроковою інструкцією того, як процес комплаєнсу має відбуватись. А як не відбудеться – то ловіть штрафи чи інші санкції. До речі, для кращого розуміння Регламенту про захист персональних даних, ми підготували для вас безоплатний онлайн-курс з ІТ-права, першим модулем якої є ГДПР! Посилання можна знайти оооось тут.

Однак важливою причиною для комплаєнсу не повинні бути виключно страшні санкції. Краще, коли компанією рухає боротьба за довіру клієнтів. Користувачі Інтернету можуть бути безкінечно далекі від розуміння тонкощів технічних процесів, але вони довіряють інформацію про себе – і сподіваються, що з їхніми даними працює професіонал. Не пропускайте ще один шанс показати, наскільки кваліфікованою і підготовленою є ваша команда – і позбавлення від претензій регулятора залишиться ще одним додатковим приємним бонусом.